Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11.

Ähnliche Präsentationen


Präsentation zum Thema: "I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11."—  Präsentation transkript:

1 I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am Neuerungen in Version 2.1 DI Herbert Leitold Zentrum für sichere Informations- technologie Austria, A-SIT

2 I T – S I C H E R H E I T S H A N D B U C H Inhaltsübersicht Einleitung Inhaltliche Neuerungen Technische Neuerungen Zusammenfassung

3 I T – S I C H E R H E I T S H A N D B U C H Teile des IT-SIHA Teil 1 – IT Sicherheitsmanagement –Allgemeine Anleitung für die Umsetzung eines kontinuierlichen IT-Sicherheitsprozesses Teil 2 – IT Sicherheitsmaßnahmen –auf organisatorischer, personeller, infrastruktureller und technischer Ebene –Bedachtnahme auf spezifisch österreichische Gegebenheiten Normen, Gesetze –Nutzung von vergleichbaren Standards BSI IT-Grundschutzhandbuch Zusammenarbeit mit BSI, ISB

4 I T – S I C H E R H E I T S H A N D B U C H Vergleich Sicherheitskriterien aus D 21 Arbeitsgruppe 5 IT-Sicherheitskriterien im Vergleich IT-Grundschutz-HB ISO 9000 ISO ISO CobiT Taskforce Sicheres Internet DS-Produktaudit (Schleswig Holst.) FIPS-140 ITSEC Common Criteria Technisch nicht technisch Produkt- bezogen System- bezogen österr. IT-SIHA BSI IT-GSHB BS 7799

5 I T – S I C H E R H E I T S H A N D B U C H Überlegungen zu SIHA alt Aktualität –Teil 1 im Wesentlichen aus 1998, seither gesetzliche Änderungen, update von Normen –Teil 2 Version 2.0 – September 2001, seither Konzept Bürgerkarte, IKT Board, Operative Unit, etc. Volumen –Fließtext ( Seiten) Zielgruppenorientierung Wartbarkeit –Für die EntwicklerInnen des SIHA Einbringen von Aktualisierungen –Für die AnwenderInnen des SIHA Einphasen von Änderungen nach einer Umsetzung

6 I T – S I C H E R H E I T S H A N D B U C H Ziele eines Updates Zielgruppenorientierung –Anpassbarkeit an Organisationseinheit –Benutzerspezifische Ansichten Unterstützung der UmsetzerInnen –Checklisten –Technische Hilfsmittel Wartbarkeit –Für die EntwicklerInnen des SIHA Zeitbezug von Referenzen auflösen –Für die AnwenderInnen des SIHA Automatismen für delta-Dokumente

7 I T – S I C H E R H E I T S H A N D B U C H Inhaltliche Neuerungen SIHA - Teil 1 Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.) SIHA - Teil 2 Stabsstelle, IKT-Board (bis ) diverse weitere Dokumente Sicherheits-/Verteidigungsdoktrin K-Fall Überlegungen BKA diverse technische Entwicklungen z.B. WLAN, Common Criteria

8 I T – S I C H E R H E I T S H A N D B U C H Technische Neuerungen Konzept Zielgruppenorientierung Spezifische Ansichten Checklisten

9 I T – S I C H E R H E I T S H A N D B U C H Grundüberlegung Sicherheitshandbuch Teil 2 soll –nicht Detailtiefe der BSI GSHB Modellierung aufweisen –trotzdem automatisierte Elemente aufweisen –nicht auf hohe Abstraktion BS7799 zurückfallen –sondern konkrete Vorgaben für mittleren Schutzbedarf pragmatischer, methodischer Mittelweg Entwicklung aus der Sicht der Anwendbarkeit getrieben

10 I T – S I C H E R H E I T S H A N D B U C H Zielgruppenorientierung statische Sichtweise Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit personalisierbar sein –Anpassen an Anwender im Großen Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben –Größe der Organisationseinheit –Umfeld öffentl. Verwaltung vs. Privatwirtschaft organisationsize { SMALL | LARGE } Attribute { egovernment | industry }

11 I T – S I C H E R H E I T S H A N D B U C H Sicherheitshandbuch soll für konkrete Be- trachterIn / UmsetzerIn personalisierbar sein –Daraus ergeben sich anwenderspezifische Ansichten Rollenmodell der Ansichten Zielgruppenorientierung dynamische Sichtweise RELEVANT FÜR Management Leitung Umsetzung Wartung AnwenderInKunde INTERN (in OE) Entscheidungs trägerIn z.B. Sach- bearbeiterIn EXTERN (außer OE) z.B. externer Dienstleister

12 I T – S I C H E R H E I T S H A N D B U C H Allg. IT-Sicherheitshandbuch Ansicht MANAGEMENT Ansicht UMSETZERIN Ansicht ANWENDERIN Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.) Sicherheitshandbuch der Org.-Einheit Personalisierung / Konzept

13 I T – S I C H E R H E I T S H A N D B U C H Umsetzung - XML XML Mittel der Wahl –Strukturierung der Daten –Trennung von Information und Darstellung Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden. Wichtige organisatorische Regelungen dafür sind:

14 I T – S I C H E R H E I T S H A N D B U C H Bsp. Übersicht

15 I T – S I C H E R H E I T S H A N D B U C H Bsp. Gesamtansicht

16 I T – S I C H E R H E I T S H A N D B U C H Checklisten Hier Ansicht Anwender

17 I T – S I C H E R H E I T S H A N D B U C H Vorgeschlagene Prioritäten VERBINDLICH –gesetzliche Vorgabe oder IKT-Board Beschluss IKT Board Beschluss für Privatwirtschaft als Information EMPFOHLEN –ist für SIHA Konformität umzusetzen; begründetes Abgehen, wenn Gefährdung anders begegnet SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn ausgelagert) SINNVOLL –Maßnahme/Kriterium, die vorgeschlagen wird, je nach Gegebenheit in OE soll diese über Notwendigkeit entscheiden Auch downgrade auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen INFORMATION –Zusatzinformationen

18 I T – S I C H E R H E I T S H A N D B U C H Zeitbezug Referenzen Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird.

19 I T – S I C H E R H E I T S H A N D B U C H Zusammenfassung Neuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1 Inhaltliche Aktualisierungen Technische Neuausrichtung XML als Datenbasis Damit technische Basis für Zielgruppenorientierung Checklisten Unterstützung in der Umsetzung

20 I T – S I C H E R H E I T S H A N D B U C H Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria at Unterstützung IT-Sicherheitshandbuch


Herunterladen ppt "I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11."

Ähnliche Präsentationen


Google-Anzeigen